14 февраля, буквально на следующий день после помпезного представления Биллом Гейтсом главных средств разработки Web-приложений на платформе .NET независимые эксперты обнаружили в них серьезную дыру.
По сообщению ИА "Нетоскоп", это старая добрая уязвимость переполнения буфера, неразлучная с продуктами Microsoft. На этот раз она обнаружена в компиляторе Visual C++.NET, который входит в состав представленного 13 февраля инструментария Web-разработчиков Visual Studio .NET.
Интересно, что переполнению буфера оказался подвержен специальный встроенный в компилятор механизм безопасности, защищающий программы именно от этой уязвимости. Механизм автоматически проверяет исходные коды, обеспечивая защиту от атак, использующих переполнение буфера. Данная уязвимость переходит на все программы, создаваемые с помощью компилятора. Дырявый защитный механизм вместо латания дыр расставляет их.
Дыру в только что выпущенном в продажу продукте обнаружили специалисты консалтинговой компании Cigital, специализирующейся на оценках безопасности программного обеспечения. По их мнению, баг опасен тем, что создает у разработчиков ложное ощущение защищенности. Между тем, любые производимые ими приложения будут уязвимы для хакеров.
"Эта программа и написана, и встроена (в пакет) совершенно неправильно. Вместо того, чтобы защищать, она вообще ничего не делает", - заявил технический директор Cigital Гэри Макгроу. По его словам, он говорил со специалистами Microsoft по этому поводу, и они признали существование уязвимости. Благодаря ей, надо заметить, злоумышленник теоретически может удаленно получить полный контроль над компьютерной системой. Макгроу считает, что Microsoft вполне в состоянии заделать эту "дыру" в следующей версии Visual Studio, а тем, кто собирается пользоваться нынешней, он категорически не советует применять в разработках уязвимый компонент Visual C++ .NET.
Как уже сообщалось, Microsoft устроил "весеннюю чистку" - до пятого марта все программисты занимаются только устранением багов. Однако от дурной репутации за один месяц не излечишься. Да и внимание со стороны других компаний к последней разработке Microsoft тоже чрезвычайно пристальное. Так что удивляться произошедшему не приходится.
